bin/afppasswd/afppasswd.c

   1 /*
   2  * $Id: afppasswd.c,v 1.9.8.1 2003-01-21 16:33:30 srittau Exp $
   3  *
   4  * Copyright 1999 (c) Adrian Sun (asun@u.washington.edu)
   5  * All Rights Reserved. See COPYRIGHT.
   6  *
   7  * format of the password file:
   8  * name:****************:****************:********
   9  *      password         last login date  failed usage count
  10  *
  11  * ***'s are illegal. they're just place holders for hex values. hex
  12  * values that represent actual numbers are in network byte order.
  13  *
  14  * last login date is currently a 4-byte number representing seconds
  15  * since 1970 (UTC). there's enough space to extend it to 8 bytes.
  16  *
  17  * the last two fields aren't currently used by the randnum uams.
  18  *
  19  * root syntax: afppasswd [-c] [-a] [-p path] [-f] [username]
  20  * user syntax: afppasswd
  21  */
  22
  23 #ifdef HAVE_CONFIG_H
  24 #include "config.h"
  25 #endif /* HAVE_CONFIG_H */
  26
  27 /* STDC check */
  28 #if STDC_HEADERS
  29 #include <string.h>
  30 #else /* STDC_HEADERS */
  31 #ifndef HAVE_STRCHR
  32 #define strchr index
  33 #define strrchr index
  34 #endif /* HAVE_STRCHR */
  35 char *strchr (), *strrchr ();
  36 #ifndef HAVE_MEMCPY
  37 #define memcpy(d,s,n) bcopy ((s), (d), (n))
  38 #define memmove(d,s,n) bcopy ((s), (d), (n))
  39 #endif /* ! HAVE_MEMCPY */
  40 #endif /* STDC_HEADERS */
  41
  42 #include <stdio.h>
  43 #include <stdlib.h>
  44 #include <errno.h>
  45 #ifdef HAVE_UNISTD_H
  46 #include <unistd.h>
  47 #endif /* HAVE_UNISTD_H */
  48 #include <ctype.h>
  49 #include <sys/types.h>
  50 #include <sys/stat.h>
  51 #include <sys/param.h>
  52 #ifdef HAVE_FCNTL_H
  53 #include <fcntl.h>
  54 #endif /* HAVE_FCNTL_H */
  55 #include <pwd.h>
  56
  57 #include <netatalk/endian.h>
  58
  59 #include <des.h>
  60
  61 #ifdef USE_CRACKLIB
  62 #include <crack.h>
  63 #endif /* USE_CRACKLIB */
  64
  65 #define OPT_ISROOT  (1 << 0)
  66 #define OPT_CREATE  (1 << 1)
  67 #define OPT_FORCE   (1 << 2)
  68 #define OPT_ADDUSER (1 << 3)
  69 #define OPT_NOCRACK (1 << 4)
  70
  71 #define PASSWD_ILLEGAL '*'
  72
  73 #define FORMAT  ":****************:****************:********\n"
  74 #define FORMAT_LEN 44
  75 #define OPTIONS "cafnu:p:"
  76 #define UID_START 100
  77
  78 #define HEXPASSWDLEN 16
  79 #define PASSWDLEN 8
  80
  81 static char buf[MAXPATHLEN + 1];
  82
  83 /* if newpwd is null, convert buf from hex to binary. if newpwd isn't
  84  * null, convert newpwd to hex and save it in buf. */
  85 #define unhex(x)  (isdigit(x) ? (x) - '0' : toupper(x) + 10 - 'A')
  86 static void convert_passwd(char *buf, char *newpwd, const int keyfd)
  87 {
  88   u_int8_t key[HEXPASSWDLEN];
  89   Key_schedule schedule;
  90   int i, j;
  91
  92   if (!newpwd) {
  93     /* convert to binary */
  94     for (i = j = 0; i < sizeof(key); i += 2, j++)
  95       buf[j] = (unhex(buf[i]) << 4) | unhex(buf[i + 1]);
  96     if (j <= DES_KEY_SZ)
  97       memset(buf + j, 0, sizeof(key) - j);
  98   }
  99
 100   if (keyfd > -1) {
 101     lseek(keyfd, 0, SEEK_SET);
 102     read(keyfd, key, sizeof(key));
 103     /* convert to binary */
 104     for (i = j = 0; i < sizeof(key); i += 2, j++)
 105       key[j] = (unhex(key[i]) << 4) | unhex(key[i + 1]);
 106     if (j <= DES_KEY_SZ)
 107       memset(key + j, 0, sizeof(key) - j);
 108     key_sched((C_Block *) key, schedule);
 109     memset(key, 0, sizeof(key));
 110     if (newpwd) {
 111         ecb_encrypt((C_Block *) newpwd, (C_Block *) newpwd, schedule,
 112                     DES_ENCRYPT);
 113     } else {
 114       /* decrypt the password */
 115       ecb_encrypt((C_Block *) buf, (C_Block *) buf, schedule, DES_DECRYPT);
 116     }
 117     memset(&schedule, 0, sizeof(schedule));
 118   }
 119
 120   if (newpwd) {
 121     const unsigned char hextable[] = "0123456789ABCDEF";
 122
 123     /* convert to hex */
 124     for (i = j = 0; i < DES_KEY_SZ; i++, j += 2) {
 125       buf[j] = hextable[(newpwd[i] & 0xF0) >> 4];
 126       buf[j + 1] = hextable[newpwd[i] & 0x0F];
 127     }
 128   }
 129 }
 130
 131 /* this matches the code in uam_randnum.c */
 132 static int update_passwd(const char *path, const char *name, int flags)
 133 {
 134   char password[PASSWDLEN + 1], *p, *passwd;
 135   FILE *fp;
 136   off_t pos;
 137   int keyfd = -1, err = 0;
 138
 139   if ((fp = fopen(path, "r+")) == NULL) {
 140     fprintf(stderr, "afppasswd: can't open %s\n", path);
 141     return -1;
 142   }
 143
 144   /* open the key file if it exists */
 145   strcpy(buf, path);
 146   if (strlen(path) < sizeof(buf) - 5) {
 147     strcat(buf, ".key");
 148     keyfd = open(buf, O_RDONLY);
 149   }
 150
 151   pos = ftell(fp);
 152   memset(buf, 0, sizeof(buf));
 153   while (fgets(buf, sizeof(buf), fp)) {
 154     if ((p = strchr(buf, ':'))) {
 155       /* check for a match */
 156       if (strncmp(buf, name, p - buf) == 0) {
 157         p++;
 158         if (!(flags & OPT_ISROOT) && (*p == PASSWD_ILLEGAL)) {
 159           fprintf(stderr, "Your password is disabled. Please see your administrator.\n");
 160           break;
 161         }
 162         goto found_entry;
 163       }
 164     }
 165     pos = ftell(fp);
 166     memset(buf, 0, sizeof(buf));
 167   }
 168
 169   if (flags & OPT_ADDUSER) {
 170     strcpy(buf, name);
 171     strcat(buf, FORMAT);
 172     p = strchr(buf, ':') + 1;
 173     fwrite(buf, strlen(buf), 1, fp);
 174   } else {
 175     fprintf(stderr, "afppasswd: can't find %s in %s\n", name, path);
 176     err = -1;
 177     goto update_done;
 178   }
 179
 180 found_entry:
 181   /* need to verify against old password */
 182   if ((flags & OPT_ISROOT) == 0) {
 183     passwd = getpass("Enter OLD AFP password: ");
 184     convert_passwd(p, NULL, keyfd);
 185     if (strncmp(passwd, p, PASSWDLEN)) {
 186       fprintf(stderr, "afppasswd: invalid password.\n");
 187       err = -1;
 188       goto update_done;
 189     }
 190   }
 191
 192   /* new password */
 193   passwd = getpass("Enter NEW AFP password: ");
 194   memcpy(password, passwd, sizeof(password));
 195   password[PASSWDLEN] = '\0';
 196 #ifdef USE_CRACKLIB
 197   if (!(flags & OPT_NOCRACK)) {
 198     if (passwd = FascistCheck(password, _PATH_CRACKLIB)) {
 199         fprintf(stderr, "Error: %s\n", passwd);
 200         err = -1;
 201         goto update_done;
 202     }
 203   }
 204 #endif /* USE_CRACKLIB */
 205
 206   passwd = getpass("Enter NEW AFP password again: ");
 207   if (strcmp(passwd, password) == 0) {
 208      struct flock lock;
 209      int fd = fileno(fp);
 210
 211      convert_passwd(p, password, keyfd);
 212      lock.l_type = F_WRLCK;
 213      lock.l_start = pos;
 214      lock.l_len = 1;
 215      lock.l_whence = SEEK_SET;
 216      fseek(fp, pos, SEEK_SET);
 217      fcntl(fd, F_SETLKW, &lock);
 218      fwrite(buf, p - buf + HEXPASSWDLEN, 1, fp);
 219      lock.l_type = F_UNLCK;
 220      fcntl(fd, F_SETLK, &lock);
 221      printf("afppasswd: updated password.\n");
 222
 223   } else {
 224     fprintf(stderr, "afppasswd: passwords don't match!\n");
 225     err = -1;
 226   }
 227
 228 update_done:
 229   if (keyfd > -1)
 230     close(keyfd);
 231   fclose(fp);
 232   return err;
 233 }
 234
 235
 236 /* creates a file with all the password entries */
 237 static int create_file(const char *path, uid_t minuid)
 238 {
 239   struct passwd *pwd;
 240   int fd, len, err = 0;
 241
 242
 243   if ((fd = open(path, O_CREAT | O_TRUNC | O_RDWR, 0600)) < 0) {
 244     fprintf(stderr, "afppasswd: can't create %s\n", path);
 245     return -1;
 246   }
 247
 248   setpwent();
 249   while ((pwd = getpwent())) {
 250     if (pwd->pw_uid < minuid)
 251       continue;
 252     /* a little paranoia */
 253     if (strlen(pwd->pw_name) + FORMAT_LEN > sizeof(buf) - 1)
 254       continue;
 255     strcpy(buf, pwd->pw_name);
 256     strcat(buf, FORMAT);
 257     len = strlen(buf);
 258     if (write(fd, buf, len) != len) {
 259       fprintf(stderr, "afppasswd: problem writing to %s: %s\n", path,
 260               strerror(errno));
 261       err = -1;
 262       break;
 263     }
 264   }
 265   endpwent();
 266   close(fd);
 267
 268   return err;
 269 }
 270
 271
 272 int main(int argc, char **argv)
 273 {
 274   struct stat st;
 275   int flags;
 276   uid_t uid_min = UID_START, uid;
 277   char *path = _PATH_AFPDPWFILE;
 278   int i, err = 0;
 279
 280   extern char *optarg;
 281   extern int optind;
 282
 283   flags = ((uid = getuid()) == 0) ? OPT_ISROOT : 0;
 284
 285   if (((flags & OPT_ISROOT) == 0) && (argc > 1)) {
 286     fprintf(stderr, "Usage: afppasswd [-acfn] [-u minuid] [-p path] [username]\n");
 287     fprintf(stderr, "  -a        add a new user\n");
 288     fprintf(stderr, "  -c        create and initialize password file or specific user\n");
 289     fprintf(stderr, "  -f        force an action\n");
 290 #ifdef USE_CRACKLIB
 291     fprintf(stderr, "  -n        disable cracklib checking of passwords\n");
 292 #endif /* USE_CRACKLIB */
 293     fprintf(stderr, "  -u uid    minimum uid to use, defaults to 100\n");
 294     fprintf(stderr, "  -p path   path to afppasswd file\n");
 295     return -1;
 296   }
 297
 298   while ((i = getopt(argc, argv, OPTIONS)) != EOF) {
 299     switch (i) {
 300     case 'c': /* create and initialize password file or specific user */
 301       flags |= OPT_CREATE;
 302       break;
 303     case 'a': /* add a new user */
 304       flags |= OPT_ADDUSER;
 305       break;
 306     case 'f': /* force an action */
 307       flags |= OPT_FORCE;
 308       break;
 309     case 'u':  /* minimum uid to use. default is 100 */
 310       uid_min = atoi(optarg);
 311       break;
 312 #ifdef USE_CRACKLIB
 313     case 'n': /* disable CRACKLIB check */
 314       flags |= OPT_NOCRACK;
 315       break;
 316 #endif /* USE_CRACKLIB */
 317     case 'p': /* path to afppasswd file */
 318       path = optarg;
 319       break;
 320     default:
 321       err++;
 322       break;
 323     }
 324   }
 325
 326   if (err || (optind + ((flags & OPT_CREATE) ? 0 :
 327                         (flags & OPT_ISROOT)) != argc)) {
 328 #ifdef USE_CRACKLIB
 329     fprintf(stderr, "Usage: afppasswd [-acfn] [-u minuid] [-p path] [username]\n");
 330 #else /* USE_CRACKLIB */
 331     fprintf(stderr, "Usage: afppasswd [-acf] [-u minuid] [-p path] [username]\n");
 332 #endif /* USE_CRACKLIB */
 333     fprintf(stderr, "  -a        add a new user\n");
 334     fprintf(stderr, "  -c        create and initialize password file or specific user\n");
 335     fprintf(stderr, "  -f        force an action\n");
 336 #ifdef USE_CRACKLIB
 337     fprintf(stderr, "  -n        disable cracklib checking of passwords\n");
 338 #endif /* USE_CRACKLIB */
 339     fprintf(stderr, "  -u uid    minimum uid to use, defaults to 100\n");
 340     fprintf(stderr, "  -p path   path to afppasswd file\n");
 341     return -1;
 342   }
 343
 344   i = stat(path, &st);
 345   if (flags & OPT_CREATE) {
 346     if ((flags & OPT_ISROOT) == 0) {
 347       fprintf(stderr, "afppasswd: only root can create the password file.\n");
 348       return -1;
 349     }
 350
 351     if (!i && ((flags & OPT_FORCE) == 0)) {
 352       fprintf(stderr, "afppasswd: password file already exists.\n");
 353       return -1;
 354     }
 355     return create_file(path, uid_min);
 356
 357   } else {
 358     struct passwd *pwd = NULL;
 359
 360     if (i < 0) {
 361       fprintf(stderr, "afppasswd: %s doesn't exist.\n", path);
 362       return -1;
 363     }
 364
 365     /* if we're root, we need to specify the username */
 366     pwd = (flags & OPT_ISROOT) ? getpwnam(argv[optind]) : getpwuid(uid);
 367     if (pwd)
 368       return update_passwd(path, pwd->pw_name, flags);
 369
 370     fprintf(stderr, "afppasswd: can't get password entry.\n");
 371     return -1;
 372   }
 373 }